Serangan Masif Cyber Attack Global

0
5943

Jakarta, KomITe.ID – Berbagai paparan cyber security dirangkum oleh Komite.id sebagai media partner dari CommunicAsia, CommunicIndonesia dan Computex Taipe 2017, terkait upaya memerangi cyber security breach (pembobolan) dan attack (serangan) hingga isu global terkini WannaCry di regional Asean.

UN Expert Group on Cyberspace
Lembaga multilateral PBB sangat concerned dengan masalah Cyber security, membentuk panel ahli Government Expert Group (UN GGC) on Global Cyber security (2013) yang terdiri dari Argentina, Australia, Belarus, Canada, China, Mesir, Estonia, Perancis, Jerman, India, Rusia, UK dan AS, menurut paparan Mohamed Abulkheir, anggota UNGGC dan Duta besar Mesir untuk Singapore di CommunicAsia 2017. Sejak 2014, Indonesia juga sudah mengirim wakil, Dr. Munawar Ahmadi, mantan anggota National Desk Cyber, Kementrian Koordinasi Polhukam (2015-2016) bersama Rudi Rusdiah. Singapura belum mengirim wakilnya, sehingga diharapkan panel di CommunicAsia dapat menjadi awal bagi Singapura bergabung di panel ahli UNGGC on Cyber Security ini.

PBB sangat menginginkan agar dunia menjadi stabil, transparan dan percaya diri di dunia Maya (Cyberspace) melawan cyber terorisme dan crime, sambil mendorong peranan dialog dan kolaborasi antar sesama anggota PBB untuk isu Cyber security dan ICT. Langkah membangun kepercayaan dengan komunikasi tingkat tinggi Negara anggota PBB, berbagai informasi untuk meningkatkan pembangunan ekonomi dan sosial, serta mengurangi resiko dari konflik akibat salah paham antar anggota saat terjadi cyberwar, operasi intelijen dan cyber-attack.

Pada pertemuan UNGGC keempat (2014/2015) menghasilkan rekomendasi sebagai berikut: (1) Negara anggota PBB memanfaatkan ICT dengan memperhatikan prinsip hukum internasional, kedaulatan masing Negara dan menyelesaikan sengketa/dispute dengan cara damai  tanpa melakukan intervensi terhadap urusan dalam negeri Negara lain; (2) Pemanfaatan ICT harus comply dengan perlindungan HAM dan fundamental freedom; (3) Negara tidak boleh menggunakan proxy memanfaatkan ICT untuk tujuan merugikan Negara lain dan melarang non state actor (proxy maupun assymetris attack) manfaatkan Cyber dan ICT merugikan Negara lain.

Ricky Chau-VP AP saat keynote speech di CommunicAsia 2017

Level 3 & Interpol: C2 (Command & Control) Server & Cyber Attack
Menurut paparan Ricky Chau, VP Aspac, Level 3 Communications, dunia menghadapi serangan Zero Day, DDOS dengan volume dan bandwidth yang semakin tinggi dikarenakan maraknya Black market di Darkweb yang ramai memperdagangkan data illegal dan curian, malware code, TOR Hidden Service dan Attack as a service (AtaaS). Hacktivist, Organized crime, Nation States intelligent, Insider Trade and Threat, Lone wolf memperdagangkan teknik hacking, virus, worm, DDOS, spam, ransomware dan hacking codes di Dark dan Deep Web.

Kondisi Security landscape semakin kompleks dan volume meningkat drastis dimana 75% institusi yang disurvey sudah terinfeksi oleh malware, 47% korban data breach atau pencurian data menyebabkan kerusakan oleh Cyber crime hingga US $ 6 triliun atau Rp 78,000 triliun (2021). Top 3 daerah yang menyebarkan bot traffic dari April 1 hingga September 2016 adalah AS dengan aliran 615 juta malicious traffic, Rusia 687 juta aliran traffic dan Asia Pacific 167 juta aliran malicious traffic.

Kesimpulan serangan semakin smart melumpuhkan korban dengan mencari korban, infiltrasi korban, menyuntik virus, eksplorasi hingga persistence attacks. Dengan persistence attacks taktik penyusupan melalui email attachment, URL phishing, brute force cracking, stolen password, maka pencegahannya harus komprehensif dan berbagai cara dan memang “no silver bullet” ujar Ricky.

Ke depan semakin kompleks karena gadget atau end point mobile mencapai 20% dari IP traffic. Pasar IOT mencapai leibh dari $200 miliar (2020) dan setiap rumah memiliki minimal 10 connected device (IOT). Data berkembang sangat pesat dimana 92% global data center traffic berada di Clouds service dan aplikasi (2020). Jumlah connected device ke IP Network 3x jumlah penduduk global (2020).

Dari perspektif Level 3 setiap hari monitor 1.3 miliar security event setiap hari; mitigasi 100 DDOS attack; mengumpulkan 87 TB data; 357 juta DNS queries dan membuang 25 C2 network perbulan.

Laporan dari Interpol kawasan Asia Pasifik yang berkedudukan di Singapura menemukan banyak sekali compromised website yang terserang oleh sekitar 9,000 C2 Server yang berdomisili di Asean melalui razia cybersecurity oleh Interpol. Majoritas korban adalah institusi finansial, kesehatan public lainnya menjadi target ransomware, DDOS (Distributed Denial of Service), phishing Email Spam dll. Pertukaran insight dan intelijen diantara stakeholder baik pemerintah anggota Interpol, perusahaan cyber security swasta, akademisi mengkhawatirkan C2 ini potensi menjadi RAT (Remote access Troyan) dan upaya memerangi terorisme dan kegiatan dari darkweb dan deep web. Singapore baru saja merubah Computer Misuse Acts membuat illegal data mining informasi pribadi melalui kegiatan criminal, misalnya jual beli informasi credit card sering kali di darkweb.

Yang mengkhawatirkan adalah jika ada network bayangan (Shadow Network) di dalam jaringan VPN atau LAN enterprise yang sudah terinfeksi alias compromised (Indicator of Compromised – IOC). C2 dapat mengaktifikan secara remote Insider threat atau malware yang melalui ICR (Internet Chat Relay) berupa pasukan zombie dalam bentuk botnet, yang harus segera dimatikan (shutdown).

Ada beberapa channel masuknya insider threat dan malware. Yang klasik adalah dari luar perimeter yang biasanya sudah dijaga oleh policy dan virus IDS signature dari firewall, namun firewall tidak berdaya jika serangan dapat masuk dari personal communications melalui social engineering phishing, email attachment atau smartphone yang terkonek ke desktop, sehingga seringkali perimeter defence melalui firewall sudah tidak efektif melawan APT (Advanced Persistent Threat) dan harus memanfaatkan end point protections di setiap terminal, PC dan gadget, disebut upaya DoD (Defence in Dept) pada semua layers menurut saran NSA (Nasional Security Agency). Komunikasi Malware dengan DNS eksternal via non standard port dari Firewall harus menjadi IOC (Indicator of Compromised) dan terjadi infeksi dan infiltrasi insider threat yang harus segera diputus dan segera di bersihkan untuk menghindari infeksi dimasa mendatang serta mendisrupsi komunikasi malware dengan C2 notednya (Breaking the Kill Chain).

Walter Yeh – President Taitra, saat keynote speech di Computex Taipe 2017

Ransomware yang membuat panic dunia
Serangan WannaCry telah menginfiltrasi lebih dari 100,000 institusi atau 230,000 PC di 150 negara dalam waktu 24 jam, Jumat (12/5) membuat perhatian dunia. Industry yang diserang terbesar adalah Jasa Pelayanan disusul Manufacture; Administrasi Publik; Keuangan, Asuransi dan Perumahan; serta Perdagangan. Rumah sakit jaringan National Health Service (NHS) di Inggris (UK), perusahaan Telco terbesar, Telefonica di Spanyol, Maskapai Penerbangan di Hainan, China, Kementrian Dalam Negeri Rusia dan Rumah sakit di Indonesia jaringan BPJS menjadi target serangan. Untungnya dari laporan paska serangan Wannacry hanya menghasilkan $26,000, namun dampaknya membuat ketakutan dan siaga seluruh dunia serta berbagai dinas intelijen Korea Utara, NSA, Tiongkok, dan Rusia saling menuduh.

Anatomi Wannacry terdiri dari: (1) worm, berisi malicious software (malware) yang dapat menyebar dari PC ke PC yang lain melalui spoof email berisi attachment yang jika diklik akan aktif; (2) kode inkripsi yang dapat menginkrisipsi data, jika sudah aktif, melakukan “Ping” untuk menguji adanya akses ke dunia cyber, seperti tangisan bayi yang baru lahir dan bukannya terkarantina disebuah sandbox laboratorium anti virus untuk dapat membongkar digital bug & mempelajari anatomi rahasia wannacry. Wanacry diprogram untuk melindungi dirinya terhadap sandbox anti malware. Ketika sandbox atau sinkhole ini dibuat oleh Malwaretech untuk mengelabuhi wannacry yang sedang di periksa bagaimana menjalankan aksinya dan membuka rahasia anatomi dari wannacry. Kemudian malwaretech menelusuri alamat web rahasia wannacry dan berhasil meyakinkan semua copy wannacry yang ada bahwa mereka sudah ada didalam sinkhole dan akhirnya malwaretech berhasil memadamkan dan membungkam serangan wannacry.

Wannacry dibuat oleh ‘kiddy script’ alias cracker pemula dan bukan profesional pembuat malware, seperti worm ILOVEYOU, Conficker yang menyebabkan kerusakan sangat fatal hingga miliaran rupiah.  Sehingga sulit juga bagi si pembuat wannacry untuk berani mengambil hasil jarahannya di bitcoin, karena beresiko tertangkap basah oleh ratusan negara yang memburu si pembuat wannacry ini.

Kenapa Wannacry dapat menyebar dengan cepat? Karena wannacry memanfaatkan kode hacking bekas, Server Message Blok (SMB) port 445 untuk penyebarannya, hasil curian dari kode intelijen NSA, dinas intel AS yang memanfaatkan kelemahan Microsoft Windows XP sejak 2001 dan disebarkan oleh kelompok hacker “Shadow Broker” di dark web. Dark Web adalah dunia hitam Internet yang gelap dan dalamnya sulit ditebak, karena banyak yang terinkripsi, anonym dan hanya dapat diakses oleh web khusus ‘TOR’ yang juga didanai oleh proyek DARPA, AS.  Apresiasi untuk Malware Tech yang berhasil menghentikan pandemic virus malware dan botnet Wannacry yang puncak serangannya pada Jumat (12/5/2017) dengan mematikan tombol Kill Switch Wannacry versi ini.

Meski Kill Switch sudah ditemukan dan dilakukan reverse engineering di sandbox, untuk mengetahui kode Wannacry diperoleh secara illegal dari exploit Windows XP yang disinyalir milik NSA. Ditenggarai signature backdoor code malware ini ada kemiripan dengan kelompok asimetris non state actor Lazarus Group terkait Negara Korea Utara (Korut) saat kasus Sony Picture dan Bank Sentral Bangladesh 3 tahun lalu, menurut Simon Choi, Hauri Lab, Korsel (Reuter: 17/5).

Menurut riset Flashpoint yang dikutip South China Morning Post (29/5), forensic linguistic analytics atau analisa bahasa terhadap typo di wannacry ransom note memiliki dialek dari Tiongkok Selatan bahkan dari Hongkong atau Taiwan. Namun dibantah oleh VP Cybersecurity Rising bahwa professional hacker selalu sengaja meninggalkan banyak jejak (decoy) yang mengaburkan pelacakan, sehingga membingungkan asal muasal Wannacry, Komite.id menyimpulkan bahwa virus ini adalah pekerjaan sekelompok cyber cracker anonim di Asia yang bermukim di berbagai Negara seperti Korut, hingga Tiongkok, sehingga sulit di lacak, namun state intelligen seperti NSA melalui Tor Node dan PRISM mudah melacak keberadaaan author dari ransomware, termasuk Snowden. Meski berita yang direlis mungkin saja bukan realitas sebenarnya, karena dunia cyber adalah dunia virtual tanpa alamat fisik yang jelas.

Backup dan Restore merupakan proteksi sisi produktif enterprise terhadap time delay ransomware dan harus dijaga agar ransomware tidak masuk atau dormant di backup copy termasuk Snapshots dan replikasi. Vendor Data protections seperti Acronis, Unitrends, Commvault, Barracuda dan infrasturktur data storage, server bersiap siap meningkatkan fitur melawan ransomware untuk mengambil keuntungan dari kondisi panik seperti ini.

Wannacry menjadi isu hangat track CyberSecurity di CommunicAsia 2017 karena menjadi prioritas pemerintah Singapura dengan ambisinya menjadi portal hub finansial, komunikasi, ecommerce dan logistik kawasan Asia.

Panelist Connecting the Future Now di ComunnicAsia 2017

Prespektif Indonesia
Menteri Kominfo Rudiantara atau akrab dipanggil Chief RA sempat menjadi sibuk diminta sosialisasi untuk mengatasi Ransomware ini, karena penanganannya harus segera dan holistic dengan asumsi sudah terjadi insider attack dan vulnerability seluruh system dan terminal.

Dunia perbankan di Indonesia aman dan memiliki pengawas dan regulator OJK (Otoritas Jasa Keuangan) yang handal dan cepat melakukan mitigasi patch anti virus dan tentu prosedur backup sudah menjadi kebiasaan sehari hari didunia fintech ini. Jaringan VPN yang handal juga menjadi penting karena transaksi transfer perbankan menggunakan jaringan komunikasi RTGS dan Kliring yang harus steril terhadap serangan malware. Menurut laporan yang masuk ke ID-Sirtii/CC (Security Incident Response Team on Internet Infrastructure/Coordination Center) Wannacry menyerang PC di Kementrian Agama, PT PLN, Semen Padang, Perkebunan Negara IX, beberapa Samsat, PT PAL serta beberapa perusahaan swasta melalui penyebaran email attachment namun semua dapat diatasi, karena dengan cepat Wannacry dapat di contained (dibungkam) di sandbox/sinkhole oleh Malwaretech.

Blessing in disguise, alhasil Wannacry mempercepat proses pembentukan BSSN (Badan Siber dan Sandi Negara) oleh Presiden RI Joko Widodo melalui Peraturan Presiden RI Nomor 53 Tahun 2017 tertanggal 19 Mei 2017. BSSN memiliki 4 deputi Keamanan Siber untuk bidang Identifikasi dan Deteksi; Bidang Proteksi; Bidang Penanggulangan dan Pemulihan; serta Bidang Pemantauan dan Pengendalian.

Saran bidang data proteksi dari ABDI (Asosiasi Big Data Indonesia) agar terhindar dari serangan Malware di masa depan dengan melakukan preventif actions memiliki prosedur data protection dan melakukan rutin backup data menjadi kritis, serta restore ketika mitigasi bencana akibat ransomware yang dapat menhancurkan reputasi dan bisnis sebuah organisasi Data Processor (yang memiliki data klien dalam jumlah besar). Instalasi ‘ransomware honey pot’ sebagai sensor alarm kepada administrator jika ada indikasi serangan ransomware bukan saja wannacry.

Serangan Siber di Indonesia makin agresif dan lebih focus menyasar target politik sebelumnya bisnis menurut laporan Direktur Tindak Pidana Siber, Bareskrim Polri BrigJen (Pol) Muhammad Fadil Imran dalam dua tahun ini majoritas melalui ujaran kebencian (SARA) dan penipuan daring, semacam phishing. Tingkat virus di attachment email 0.5% (2015) meningkat menjadi 0.8% (2016) dan tingkat spam sekitar 54% artinya lebih dari separuh email yang diterima adalah email sampah dan terus meningkat, sehingga produktifitas bandwidth menurun karena separuhnya dimanfaatkan untuk transmisi sampah internet (junk mail). Penyadapan password dan identitas user 0.05% (2015) yang kemudian berlanjut kepada penyadapan data yang tersimpan, sehingga menjadi concerned bidang Data Security dari ABDI.

Symantec Security Threat Report (5/6) menyatakan kandungan virus malware adalah 0.4% (2016) meningkat menjadi 0.6% (2017). Laporan Akamai State (5/6) of Internet Security serangan terhadap web server yang berisi data pelanggan mencapai 3.2 juta akses menjadikan Indonesia masuk kedalam ranking 17 dunia. Jumlah Internet user di Indonesia menurut APJII adalah 132.7 juta (2017) ranking ketiga di Asia Pacific dan pertama di Asean dan ranking ke lima didunia dibawah Tiongkok, India, AS dan Brazil. Semestinya awal 2018 Indonesia sudah mengejar Brazil menduduki ranking ke empat dunia, karena populasi Indonesia lebih besar dari Brazil.

Jinrul – Lilee System, saat keynote speech di Computex Taipe 2017

Social Engineering memanfaatkan C Level Fraud atau Phishing
Florian Lukavsky, Security Consultant di Singapore yang berbicara di CommunicAsia juga mantan hacker yang kini direcruit sebagai konsultan membawakan topik yang menarik yaitu phishing dikalangan top management alias CEO Fraud. Kasus Pembobolan di dunia Internet (Cyber Security Breach) terus meningkat.  3 tahun dari 2012 hingga 2016 terjadi 22,142 kasus dengan total kerugian $ 3.1 miliar, namun dalam 6 bulan kemudian sudah mencapai 18,060 kasus dengan total kerugian $2.2 miliar pertumbuhan 300% lebih menurut Florian.

C Level Fraud atau penipuan atau phishing yang menyamar sebagai bos perusahaan selevel CEO semakin marak. Serangan penyamaran sebagai C Level oleh seorang cracker berawal dari mencari dan membuat hubungan dengan orang dalam (insider). Setelah itu diciptakan sebuah scenario atau cerita (pretext) misalnya perusahaan akan diambil alih atau pembelian cepat. Si cracker ini kemudian mencoba menyamar sebagai salah satu direktur dan mencari korban karyawan bidang perbankan atau keurangan untuk melakukan bank transfer dan seterusnya.

Mengapa C Level fraud sering berhasil? (1) Authority: Mendapatkan otoritas dengan menyamar sebagai C Level. (2). Scarcity Urgency atau dengan membuat scenario harus diproses secepatnya agar tidak terlambat. (3) Obligation: Korban karyawan diminta untuk menjaga rahasia oleh si cracker. (4) Korban yang dipilih biasanya yang mempunyai relasi baik dan dipercaya oleh CEO untuk melakukan transfer dana misalnya. (5) Presure – membuat korban karyawan merasa mendapatkan pahala atau dipecat jika transaksi gagal. Sehingga si korban karyawan akhirnya percaya dan membuat transaksi ini. Perlu berhati hati belakangan ini banyak email PO seakan si penerima email akan mendapatkan PO atau Faktur. Sebaiknya dihapus jika ada PO dari perusahaan yang tidak dikenal!

Siapa saja yang menjadi korban CEO Scam atau Fraud ini melalui Cyberspace? Mattel sebuah perusahaan manufaktur mainan di AS menderita kerugian hingga $3 juta (Rp 30 miliar) pada April 2014. Scoular Perusahaan perdagangan komoditas di AS menderita kerugian $17.2 juta. Bahkan Facebook dan google diserang pada 2013 dengan kerugian $100 juta, dimana hacker ini tertangkap di Lithuania.

Bagaimana saran untuk menhindari menjadi korban C Level Fraud ini? (1) Jangan menerima email dengan domain anda tapi berasal dari foreign email server; (2) gunakan email signature dan encryptions (S/MIME atau PGP); (3) beritahu sebelum mengirim email agar tidak di hapus oleh pihak penerima; (4) gunakan strong authentikasi apalagi untuk web mail.

Mission Critical Infrastructure (MCI)
MCI salah satu topik strategis di track Security of Things, CommunicAsia 2017 dibawakan oleh Dr Majid, pimpinan Keymile dari Swiss mengingatkan semakin ketergantungan kita pada infrastruktur enerji, transportasi, komunikasi yang semakin strategis dan mission crtical karena dapat menimbulkan bencana alam misalnya reactor nuklir, korban manusia seperti kereta api dan kerugian materi yang sangat besar. Persyaratan menjaga MCI: Jangan ada compromised, factor keselamatan, factor availability, agility, simplicity dan harus reliability dan mudah di maintainable. Untuk Keamanan Network dan Komunikasi dari MCI focus pada Security layer di OSI yaitu enkripsi berlapis di layer aplikasi, network dan physical karena komunikasi dan security saling berkaitan erat dan semakin banyak security breach (pembobolan) dikawasan Asia Pacific. Untuk MCI Security harus holistic dan sangat reliable serta future proof.

Sebagai perbandingan sejak serangan Wannacry di Indonesia, maka dibentuk Badan Siber dan Sandi Negara (BSSN) dimana salah satu pasal dari Perspres 53/2017 menyatakan berupaya melindungi infrastruktur strategis. Pengelolah objek vital pemerintah dan korporasi mulai meningkatkan keamanan jaringan seperti PT Telkomsel, PT Pertamina, PT Perusahaan Listrik Negara (PLN) termasuk swasta seperti Blibli.com; Ticket.com; BCA, PT Garuda Indonesia dll. Enkripsi diperkuat untuk komunikasi B2B keluar, dan di Web Server di DMZ (Demilitarized Zone) diperkuat baik firewall dan load balancing untuk mencegah DDOS attack dan Man In the Middle (MiiM) Attack dan Data Server Leaks.


Keamanan IOT dan Network Printer
Masih banyak topik Cybersecurity yang menarik seperti IOT dan Printer Security Breach di CommunicAsia selain Data Security dan Perlindungan Data Privacy. Bayangkan masalah melindungi gadget PC dan smartphone saja sudah rumit, apalagi IOT device yang sangat kecil dan murah, namun jumlahnya akan melebihi jumlah Internet user. Enterprise sering melakukan security audit terhadap Server, PC, Mobile Device, namun sering melupakan security audit terhadap Printer. Banyak yang tidak sadar bahwa Printer memiliki prosesor, O/S, memory dan harddisk seperti halnya PC yang rentan terhadap serangan malware. Printer juga memiliki IP address dan terhubung ke Internet dan LAN sebuah enterprise agar dapat disharing seperti halnya IOT. Harddisk dan memory printer atau mesin fotokopi sering berisi data sensitive yang dapat di compromised dan incaran hacker, yang semestinya harus juga diamankan seperti halnya PC, Server dan gadget yang lain.

Dunia Gelap Broker Zero Day Attack
Menurut ComputerWeekly.com (31/5/2017) Wannacry baru serangan awal yang kurang canggih dari code NSA exploit yang leaks (bocor) dan diperdagangkan oleh Shadow Brokers di Dark Web. Ke depan korporasi yang tergantung pada IT dan Internet diperingatkan untuk berhati hati menghadapi serangan Zero Day Attack, malware yang lebih canggih terhadap Web Browser, Routers, Mobile Phone dan Windows 10 yang ditujukan ke perbankan dan nuklir program.

Shadow Broker white hat hacker group mempersiapkan hacking tools yang lebih canggih sebagai serum atau penawar serangan zero day ini melalui subscription service seperti berlangganan SaaS (Security as a Service). Ke depan Shadow Broker ini akan menjual layanan bulanan “Shadow Brokers Monthly Dump Service” dengan tarip murah menurut mereka hanya 100 ZEC, atau Zcash Crypto, emoney (mata uang cyber) yang akan meningkat pasca serangan, seperti Bitcoin dengan kurs kalau dirupiahkan seharga US$ 23,390 (setara Rp 300 juta).

Gerd Leonhard, futurist, mengatakan, “Technology has no ethics…, unfortunately human society depend more on IT”. *(rudi.rusdiah@gmail.com)